În GDPR, likelihood nu înseamnă probabilitate

(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

Traducerea în limba română este greșită (nu este singura) și schimbă fundamental practica. Am mai scris pe aici despre riscuri și probabilități și probabil voi mai scrie…

Probabilitatea este…probabilitate și înseamnă matematică. Teoria probabilităților are la bază modelele matematice și  factori aleatori. Aleatorul este fundamentul probabilităților! În lipsa aleatorului nu putem discuta de probabilități.
Pentru a putea estima probabilitatea avem nevoie de populații/seturi mari de date. În lipsa lor, estimarea probabilității este o „ghiceală„. Chiar dacă am avea date istorice, este imposibil să calculezi probabilitatea riscurilor în IT atît timp cît nu avem nici o idee despre cum va evolua tehnologia. În IT nu sîntem în situația unei firme de producție unde studiem 20 de șuruburi dintr-un lot de 1000 și estimăm că probabilitatea ca cele 1000 de șurburi să fie de calitate este de 99.99%

De exemplu, la începutul anului 2013 nu se știa despre cryptolocker. Cum ar putea cineva să calculeze probabilitatea apariției unui eveniment despre care nu știe că există? Ce date statistice ar fi trebuit să utilizăm pentru a „intui„ riscul criptării datelor? De unde am putea ști că peste un an se descoperă o vulnerabilitate într-un SGBD sau SO? Dar că WPA2 va fi spartă?

Likelihood este folosit în limbajul cotidian ca sinonim pentru probability. În realitate, likelihood înseamnă verosimilitate.

Tehnic, teoria spune că probabilitatea este utilizată înainte ca datele să fie disponibile pentru a descrie o plauzibilitate a unui rezultat ulterior, dată fiind o valoare pentru parametru (exit poolurile de exemplu). Verosimilitatea este utilizată după ce sunt disponibile date pentru a descrie plauzibilitatea unei valori a parametrului. Verosimilitatea caută să indice că este posibil să se întâmple ceva sau să se fi întâmplat ceva.

Prin urmare, atunci cînd GDPR se referă la măsurile tehnice și administrative ce trebuie puse în aplicare pe baza „riscurilor cu grade diferite de probabilitate și gravitate„ spune de fapt că trebuie să stabilim cît de verosimile sînt estimările pe care le facem. Este motivul pentru care susțin că „metoda scenariilor„ este mai apropiată de ceea ce presupune estimarea riscurilor în IT.

Gravitatea (severity) – înseamnă că, dacă știu ce date personale prelucrez, pot estima cam ce se poate întîmpla rău cu aceste date și cam ce impact are acel „rău„ asupra persoanei vizate.

Verosimilitatea (likelihood) – se referă la cît de real apare scenariul (răul) la care ne-am gîndit în legătură cu datele personale

Exemplu

Care este probabilitatea ca, folosind o căutare Google după „Gigel Popescu„ AND „data nașterii„ să identificăm o persoană? Răspunsul este simplu: nu putem calcula o astfel de probabilitate! Putem spune însă că este „foarte verosimil„ ca acest lucru să fie adevărat/corect. Dar cît de versosmil este ca aceste date să fie prelucrate în sistemul nostru?

Trebuie să mai răspundem și la alte întrebări (nu le scriu în ordinea logică a scenariului): publicarea acestor informații este legală? Dacă nu este legală, ce impact are această divulgare asupra lui Gigel Popescu – este mai grav că s-a publicat „numele și data nașterii„ decît „numele și adresa„? Dacă nu este legală, ce „măsură tehnică„ există sau de care este nevoie pentru a asigura „confidențialitatea„ (cea administrativă nu este suficientă)? După implementarea controlului, cît de verosimil mai este acest scenariu?

Operatorul și persoana împuternicită implementează măsuri tehnice și administrative și pentru „a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare„.

Riscurile din GDPR sînt de fapt o….cascadă: riscurile la adresa drepturilor și libertății persoanei vizate (prelucrare, modificare, divulgare ilegale etc…) rezultă din riscurile la adresa confdențialității, integrității și disponibilității datelor prelucrate pe echipamentele dintr-un sistem informațional (măsuri tehnice) prin intermediul unor angajați (măsuri administrative).

Dacă este verosimil să se întîmple ceva rău, este lipsit de importanță dacă probabilitatea este mai mare de zero: este posibil să fiu deja „mort„ ….sau în faliment din cauza amenzii….

(Pentru detalii statistice – Maximum Likelihood Estimation)

Anunțuri

4 gânduri despre “În GDPR, likelihood nu înseamnă probabilitate

  1. Ținând cont că cifra de afaceri medie a unei firme românești mici este de 1-200.000€, cât de verosimilă este probabilitatea unei amenzi de 10.000.000€?
    (Știu că nu sunt legate, dar nu am rezistat jocului de cuvinte.)
    În România aceste amenzi chiar reprezintă o problemă, pentru că nu văd cum și-ar asuma cineva răspunderea. Și nici la nivel UE nu sunt multe companii peste un milion cifră de afaceri. GDPR este gândit la multinaționale, dar este aplicabil oricui. Sunt foarte curios care va fi situația în cadrul firmelor mici – de exemplu, cele care organizează cursuri.

    Apreciază

    • Mulțumesc Cristi…nu contează…important este să dezbatem 🙂

      dezvolt răspunsul…începînd cu oul (ce am scris in postarea anterioară).

      1. GDPR adaugă la Directiva ce era la noi transpusă prin L677. „Cineva„ trebuie să își asume în această perioadă că a făcut ce a făcut și a fost pe lîngă lege (scrie în legea cu pricina despre „obligații„).
      2. Amenzile sînt „pînă la„, iar pînă la amenzi, autoritatea „face„ ce este prevăzut la Art. 58.
      3. Din punctul meu de vedere discuția trebuie să treacă de cuantumul amenzilor și să se ducă spre posibilitatea de a fi cheamt în judecată de către persoana vizată. (Dacă îmi găsesc pe undeva publicată adresa de domiciliu fără bază legală voi anunța Autoritatea și voi deschide proces împotriva operatorului.) Poți să primești mustrare din partea Autorității dar să te trezești cu 10 procese deschise!
      4. Pentru firmele din exexmplul tăru răspunsul este: prima dată curățenie! Ce date colectează? De ce? Cine? Cît timp le stochează? Le transferă terților? Ce riscuri ridică prelucrarea? ”Politicile„ fără soluție tehnică nu vor fi suficiente: trebuie să dovedească că respecta Art. 5(f).

      Apreciază

  2. Legat de 1 – am schimbat recent cartea de identitate și am fost la bancă să actualizeze datele. Formularele erau deja bifate cu „sunt de acord” ca ei să facă ce vor mușchii lor cu datele mele. Similar, noul contract Enel, mi-a fost trimis prin poștă cu toate căsuțele bifate. Acestea sunt chestiuni sistemice pe care Autoritatea ar fi trebuit să le gestioneze, nu ar trebui să fie tratate miile de cazuri individuale.
    2. Faptul că majoritatea discuțiilor de la noi (nu am avut timp să caut altele) se învârt în jurul amenzilor este și pentru că nu există „morcovi”, doar băț.
    3. Chematul în judecată în sistemul juridic românesc este „dead end”. Îți trebuie o mare tenacitate și răbdare să aștepți 4-5 ani ca să rezolvi ceva. Iar la ce volatilitate are mediul de afaceri românesc…
    4. Curățenie se poate face doar parțial, pentru că, de regulă, datele respective sunt solicitate de autoritățile statului, deci, vrei nu vrei, trebuie să le colectezi.

    Apreciază

    • Le iau pe rînd 🙂
      1. Acum răspunsul este Da. Dar după 25 mai nu cred că mai merge. Actuala Lege 677 este „slabă: amenzile sînt mici (că să folosesc termenul din regulament nu sînt „disuasive„ – nu schimbă comportamentul), autoritatea noastră nu are „puterea„ autorităților din restul țărilor (cam ce amenzi se dau în Italia, Anglia, Germania)
      2. Tot DA. Este deranjant că discuțiile sînt aceleași. Repet: Regulamentul este despre drepturile naostre nu despre amenzile operatorilor. ”Awareness” se face mmai mult în zona companiilor decît în zona indivizilor.
      3. Aici, da și nu. Cred că vor fi oameni care vor avea răbdare să cheme în instanță. Dacă ești firmă medie și te trezești cu 10 procese s-ar putea să îți blochezi activitatea. Pentru drepturile noastre trebuie luptat individual. Dacă așteptăm să vină alții să ne apere…
      4. Sînt convins că anul viitor mulți vor fi cu pantalonii în vine. Dar repet: presiune trebuie să punem noi, nu să îi așteptam pe ei să facă.

      Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s